npm publish и git push origin - две разные команды для загрузки пакета в реестр npm и на ваш любимый хост репозитория.
Но нет ли связи между ними обоими?Если кто-то с дурными намерениями должен был опубликовать неисправный пакет в npm, а другую, не неисправную версию - в github / etc ..., npm что-нибудь делает?Или мне нужно будет самостоятельно проверять контрольные суммы пакетов?